Sichere Wallet nur mit meinem Kopf

[david19]

Meine Gedanken:

Durch Bitcoin lässt sich das Vertrauens Problem lösen. Keine zentrale Partei. Das ist MEGA!😀

Worüber selten gesprochen wird: Dadurch das dass Vertrauens Problem gelöst wird, gibt es neue Probleme.

Das Vertrauen für die Erstellung deines private Keys. 

Es ist eigentlich ziemlich egal, ob man eine Software Wallet besitzt, oder eine Hardware Wallet. 

Du vertraust darauf, das alles ohne Sicherheitslücken funktioniert, und das nichts lauscht.

Argumente wie: Ja, ist doch opensource!! Das stimmt schon, aber kannst du den Code auch selbst lesen? 

Das Gleiche gilt für Paperwallets. 

Dazu das Argument, es ist doch opensource und ich kann es offline erstellen!! Ja das stimmt, wenn aber der Code vorher schon manipuliert ist, dann bringt offline nichts. 

Besten Dank an die vielen Beiträge von 

@Axiom0815

und @MixMax.

 

Das Vertrauensproblem kann man nicht zu 100% lösen, aber stark reduzieren. Ich möchte auf keinem Fall, meine privat Keys irgendwo speichern. Kein Gerät, Kein Bank Schließfach, Keine Software.

Ich habe die für mich beste Lösung gefunden, und vielleicht gefällt es hier jemanden. Deshalb schreibe ich diesen Beitrag.

1. Die Erstellung des Privatekey. Die sicherste Methode ist selbst würfeln. Ich habe mich aber für den Tipp von @Jokin entschieden.

 Das Opensource Projekt von https://iancoleman.io/bip39/

Es hat mit Abstand die Beste Reputation. Und ich bekomme meine 24 Wörter. + meine eigenen 3 Wörter.

Ich erstelle mir einen bootfähigen Ubuntu LTS Stick. Installiere Ubuntu aber nicht, sondern teste es nur über USB.

- Ich boote mit dem USB Stick auf meinem Rechner.

- Ich lade mir die offline HTML Datei runter. https://github.com/iancoleman/bip39/releases/tag/0.5.4

- Ich lade mir Electrum herunter und Signaturen prüfen

- Ich schalte den Router aus und bin komplett offline.

- Ich erstelle meinen SEED mit der HTML Datei.

Ich schreibe mir die 24 Wörter erstmal auf, und die 3 extra Wörter ( BIP39 Passphrase  ) schreibe ich nicht vollständig, auf mein Paper Wallet sondern nur als beispiel:

aut...........

bigr..........

game......

Davon mache ich ein paar Kopien mit meiner Handschrift, und lagere diese in verschiedenen Orten.

Ich speichere mir alle PUBLIC Adressen auf einen anderen USB Stick. 

Jetzt öffne ich Electrum und importiere meinen Seed zum testen. 

Nachdem ich den Seed eingeben habe, schalte ich den Router wieder ein. Electrum verbindet sich. Ich prüfe alle meine Public Adressen, mit den gespeicherten auf dem anderen USB Stick. Wenn diese Übereinstimmen, hat es geklappt.

Jetzt fahre ich mein PC runter, und ziehe den USB raus.

Als nächstes 2-3 Testüberweisungen und fertig.

Das Ziel ist: Alle 27 Wörter auswendig lernen mit einer kleinen Geschichte dazu, dann kann man es sich besser merken. Somit ist man später, wenn man nicht krank wird, auf das Paperwallet nicht mehr angewiesen. Deshalb auch der Thread Titel: Meine Wallet im Kopf.

 

Was passiert wenn jemand diesen USB findet?

Nichts.....weil da nichts drauf ist. Wie ich oben schon beschrieben hatte, es wird auf diesem Stick nichts installiert, sondern nur ausgeführt. Ubuntu testen auswählen..

Was passiert wenn jemand eine Kopie von meiner Paper Wallet findet?

Nichts, denn die letzten 3 Wörter sind nicht komplett. Klar, man könnte die 3 Wörter nicht aufschreiben, aber was ist wenn man wirklich mal krank wird und auf das Paper angewiesen ist. 

Ich habe also nichts weiter, als 24 Wörter + 3 Wörter. Mehr brauch ich nicht. Sollte ich Alzheimer bekommen, habe ich noch das Paper Wallet an mehreren Stellen.

Ich hoffe es gefällt ein paar Leute und könnte hilfreich sein. 

Bearbeitet 20. Dezember 2021 von david19

[Maaz]

vor 1 Stunde schrieb david19:

Meine Gedanken:

Durch Bitcoin lässt sich das Vertrauens Problem lösen. Keine zentrale Partei. Das ist MEGA!😀

Worüber selten gesprochen wird: Dadurch das dass Vertrauens Problem gelöst wird, gibt es neue Probleme.

Das Vertrauen für die Erstellung deines private Keys. 

Es ist eigentlich ziemlich egal, ob man eine Software Wallet besitzt, oder eine Hardware Wallet. 

Du vertraust darauf, das alles ohne Sicherheitslücken funktioniert, und das nichts lauscht.

Argumente wie: Ja, ist doch opensource!! Das stimmt schon, aber kannst du den Code auch selbst lesen? 

Das Gleiche gilt für Paperwallets. 

Dazu das Argument, es ist doch opensource und ich kann es offline erstellen!! Ja das stimmt, wenn aber der Code vorher schon manipuliert ist, dann bringt offline nichts. 

Besten Dank an die vielen Beiträge von 

@Axiom0815

und @MixMax.

 

Das Vertrauensproblem kann man nicht zu 100% lösen, aber stark reduzieren. Ich möchte auf keinem Fall, meine privat Keys irgendwo speichern. Kein Gerät, Kein Bank Schließfach, Keine Software.

Ich habe die für mich beste Lösung gefunden, und vielleicht gefällt es hier jemanden. Deshalb schreibe ich diesen Beitrag.

1. Die Erstellung des Privatekey. Die sicherste Methode ist selbst würfeln. Ich habe mich aber für den Tipp von @Jokin entschieden.

 Das Opensource Projekt von https://iancoleman.io/bip39/

Es hat mit Abstand die Beste Reputation. Und ich bekomme meine 24 Wörter. + meine eigenen 3 Wörter.

Ich erstelle mir einen bootfähigen Ubuntu LTS Stick. Installiere Ubuntu aber nicht, sondern teste es nur über USB.

- Ich boote mit dem USB Stick auf meinem Rechner.

- Ich lade mir die offline HTML Datei runter. https://github.com/iancoleman/bip39/releases/tag/0.5.4

- Ich lade mir Electrum herunter und Signaturen prüfen

- Ich schalte den Router aus und bin komplett offline.

- Ich erstelle meinen SEED mit der HTML Datei.

Ich schreibe mir die 24 Wörter erstmal auf, und die 3 extra Wörter ( BIP39 Passphrase  ) schreibe ich nicht vollständig, auf mein Paper Wallet sondern nur als beispiel:

aut...........

bigr..........

game......

Davon mache ich ein paar Kopien mit meiner Handschrift, und lagere diese in verschiedenen Orten.

Ich speichere mir alle PUBLIC Adressen auf einen anderen USB Stick. 

Jetzt öffne ich Electrum und importiere meinen Seed zum testen. 

Nachdem ich den Seed eingeben habe, schalte ich den Router wieder ein. Electrum verbindet sich. Ich prüfe alle meine Public Adressen, mit den gespeicherten auf dem anderen USB Stick. Wenn diese Übereinstimmen, hat es geklappt.

Jetzt fahre ich mein PC runter, und ziehe den USB raus.

Als nächstes 2-3 Testüberweisungen und fertig.

Das Ziel ist: Alle 27 Wörter auswendig lernen mit einer kleinen Geschichte dazu, dann kann man es sich besser merken. Somit ist man später, wenn man nicht krank wird, auf das Paperwallet nicht mehr angewiesen. Deshalb auch der Thread Titel: Meine Wallet im Kopf.

 

Was passiert wenn jemand diesen USB findet?

Nichts.....weil da nichts drauf ist. Wie ich oben schon beschrieben hatte, es wird auf diesem Stick nichts installiert, sondern nur ausgeführt. Ubuntu testen auswählen..

Was passiert wenn jemand eine Kopie von meiner Paper Wallet findet?

Nichts, denn die letzten 3 Wörter sind nicht komplett. Klar, man könnte die 3 Wörter nicht aufschreiben, aber was ist wenn man wirklich mal krank wird und auf das Paper angewiesen ist. 

Ich habe also nichts weiter, als 24 Wörter + 3 Wörter. Mehr brauch ich nicht. Sollte ich Alzheimer bekommen, habe ich noch das Paper Wallet an mehreren Stellen.

Ich hoffe es gefällt ein paar Leute und könnte hilfreich sein. 

Und was passiert, wenn du schwer verunfallst oder wenn du stirbst? Werden die Coins dann indirekt zur Spende an alle anderen Coiner?

[Jokin]

vor 2 Stunden schrieb david19:

Das Opensource Projekt von https://iancoleman.io/bip39/

Es hat mit Abstand die Beste Reputation

Reputation = Vertrauen => das gilt es zu vermeiden.

vor 2 Stunden schrieb david19:

Argumente wie: Ja, ist doch opensource!! Das stimmt schon, aber kannst du den Code auch selbst lesen? 

Lesen und durchsuchen, aber nicht verstehen.

Die Coleman-Seite lässt sich "lesen" um zu erkennen ob verkryptete "nicht lesbare" Codeabschnitte drin sind.

Auch das "Durchsuchen" nach Internetadresse ist für Laien möglich ob Code aus dem Internet nachgeladen wird.

vor 2 Stunden schrieb david19:

Du vertraust darauf, das alles ohne Sicherheitslücken funktioniert, und das nichts lauscht.

Ersetze "vertrauen" durch "prüfen".

Man muss komplexen Dingen nicht vertrauen indem man einen "Prüfkatalog" erstellt und die Prüfungen festlegt.

Lauschen: Vom Internet trennen und an einem Computer arbeiten, der nicht jeglichen Mist installiert bekommen hat.

Sicherheitslücken: Hier gilt es zu prüfen ob Seeds wirklich aus der Entropy ausgerechnet werden oder nur aus einem Pool stammen.

Dazu nimmt man sich die Wordlist und nimmt im einfachsten Fall das letzte Word, das hat durchweg Einsen im Code. Also wähle ich auch die höchste mögliche Entropy und prüfe diesen Fall. Das kann man auch mit wechselnden Bits machen. So kann man beliebig  viele Fälle abprüfen.

Am Ende hat man ein Werkzeug dem man nicht "vertraut" sondern das man "geprüft" hat.

Das können auch Laien!!

vor 2 Stunden schrieb david19:

Nachdem ich den Seed eingeben habe, schalte ich den Router wieder ein. Electrum verbindet sich. Ich prüfe alle meine Public Adressen, mit den gespeicherten auf dem anderen USB Stick. Wenn diese Übereinstimmen, hat es geklappt.

Warum willst du dazu ins Internet?

Das Ermitteln der Adressen ist  reine Mathematik. Das geschieht offline.

vor 28 Minuten schrieb Maaz:

Und was passiert, wenn du schwer verunfallst oder wenn du stirbst? Werden die Coins dann indirekt zur Spende an alle anderen Coiner?

Ja, genau das wäre das Szenario wenn diese drei Wörter niemandem bekannt sind.

Daher gehören diese drei zusätzlichen kompletten Wörter in das Testament zum Testamentsnotar.

Was auch funktioniert: Rechtzeitig Erben definieren. Diesen Erben wird ein Erbenpasswort mitgeteilt. Dieses müssen sie sich zu ihren anderen Passwörtern notieren. Man kann auch dazu sagen, dass dies der Zugang zu ein paar Hundert Euro im Todesfall ist. So wird das ernst genug genommen.

Beim Testamentsnotar werden mehrere Seeds in versiegelten Umschlägen hinterlegt. Wer Bedenken hat, gibt nur den halben Seed ab und bei einem anderen Notar die andere Hälfte.

Egal wie: Um die testamentarische und notarielle Nachlassregelung kommt niemand drumrum.

[Maaz]

vor 10 Minuten schrieb Jokin:

Reputation = Vertrauen => das gilt es zu vermeiden.

Lesen und durchsuchen, aber nicht verstehen.

Die Coleman-Seite lässt sich "lesen" um zu erkennen ob verkryptete "nicht lesbare" Codeabschnitte drin sind.

Auch das "Durchsuchen" nach Internetadresse ist für Laien möglich ob Code aus dem Internet nachgeladen wird.

Ersetze "vertrauen" durch "prüfen".

Man muss komplexen Dingen nicht vertrauen indem man einen "Prüfkatalog" erstellt und die Prüfungen festlegt.

Lauschen: Vom Internet trennen und an einem Computer arbeiten, der nicht jeglichen Mist installiert bekommen hat.

Sicherheitslücken: Hier gilt es zu prüfen ob Seeds wirklich aus der Entropy ausgerechnet werden oder nur aus einem Pool stammen.

Dazu nimmt man sich die Wordlist und nimmt im einfachsten Fall das letzte Word, das hat durchweg Einsen im Code. Also wähle ich auch die höchste mögliche Entropy und prüfe diesen Fall. Das kann man auch mit wechselnden Bits machen. So kann man beliebig  viele Fälle abprüfen.

Am Ende hat man ein Werkzeug dem man nicht "vertraut" sondern das man "geprüft" hat.

Das können auch Laien!!

Warum willst du dazu ins Internet?

Das Ermitteln der Adressen ist  reine Mathematik. Das geschieht offline.

Ja, genau das wäre das Szenario wenn diese drei Wörter niemandem bekannt sind.

Daher gehören diese drei zusätzlichen kompletten Wörter in das Testament zum Testamentsnotar.

Was auch funktioniert: Rechtzeitig Erben definieren. Diesen Erben wird ein Erbenpasswort mitgeteilt. Dieses müssen sie sich zu ihren anderen Passwörtern notieren. Man kann auch dazu sagen, dass dies der Zugang zu ein paar Hundert Euro im Todesfall ist. So wird das ernst genug genommen.

Beim Testamentsnotar werden mehrere Seeds in versiegelten Umschlägen hinterlegt. Wer Bedenken hat, gibt nur den halben Seed ab und bei einem anderen Notar die andere Hälfte.

Egal wie: Um die testamentarische und notarielle Nachlassregelung kommt niemand drumrum.

Immer wenn @Jokinetwas zu diesem Thema schreibt, werde ich daran erinnert, wie schlecht ich vorgesorgt habe 🤔😆

Bearbeitet 20. Dezember 2021 von Maaz

[mahatma]

vor 4 Stunden schrieb david19:

1. Die Erstellung des Privatekey. Die sicherste Methode ist selbst würfeln. Ich habe mich aber für den Tipp von @Jokin entschieden.

 Das Opensource Projekt von https://iancoleman.io/bip39/

Es hat mit Abstand die Beste Reputation. Und ich bekomme meine 24 Wörter. + meine eigenen 3 Wörter.

Ich erstelle mir einen bootfähigen Ubuntu LTS Stick. Installiere Ubuntu aber nicht, sondern teste es nur über USB.

- Ich boote mit dem USB Stick auf meinem Rechner.

- Ich lade mir die offline HTML Datei runter. https://github.com/iancoleman/bip39/releases/tag/0.5.4

- Ich lade mir Electrum herunter und Signaturen prüfen

- Ich schalte den Router aus und bin komplett offline.

- Ich erstelle meinen SEED mit der HTML Datei.

Würfeln und Ian Coleman ergänzen sich doch prächtig.

zB: Würfel dir ne 256-bit Hex Zahl. Dann einfach bei Ian Coleman eingeben und in die 24 Wörter umwandeln.

Damit kannst du schonmal 100% sicher sein dass dein  Seed zufällig ist. 

Anschliessend die zugehörigen Adressen rauskopieren, auch alles komplett offline, und schon hast du nen voll zufälligen Seed inkl. aller Adressen ohne jemals ein elektronisches, mit dem Internet verbundenes Gerät benutzt zu haben. Kannst ja voll paranoid auch noch deine Platte danach formatieren, dann ist es auch egal ob Ian Coleman ein Hintertürchen hat.

Kannst dir an dieser Stelle auch die Adressen inkl. zugehöriger PrivateKeys rausschreiben, deine 256-bit Zahl wieder vergessen, schon haste ne Liste von völlig zufälligen und selbsterstellten Paperwallets.

vor 4 Stunden schrieb david19:

Davon mache ich ein paar Kopien mit meiner Handschrift, und lagere diese in verschiedenen Orten.

 

vor 1 Stunde schrieb Jokin:

Beim Testamentsnotar werden mehrere Seeds in versiegelten Umschlägen hinterlegt. Wer Bedenken hat, gibt nur den halben Seed ab und bei einem anderen Notar die andere Hälfte.

Im Fluchtrucksack Thread hat @Axiom0815 mal ne finde ich sehr elegante Art den Seed zu splitten ohne Information dabei preiszugeben mitgeteilt.

1. Seed in Form einer 256 bit Hex Zahl erstellen. Nennen wir die Zahl S1

2. weitere zufällige 256-bit Hex Zahl. S2

3. Die zwei Zahlen XOR multiplizieren. Ergebnis S3

4. S2 und S3 in die 24-Wörter-darstellung überführen.

Jetzt benötigt man S2 und S3 um durch XOR Multiplikation wieder auf S1 zu kommen.

Schon hat man zwei Seeds die für sich völlig wertlos sind, und in der Summe den richtigen Seed ergeben.

Das ganze kann man auch weiterspinnen und zB in drei Teile splitten und dann so aufteilen, dass man 2 aus 3 benötigt.

Auf diese Weise lassen sich auch Passwörter elegant splitten und "sicher" aufbewahren, wenn man das geschickt aufzieht reduziert sich alles auf das sichere Aufbewahren einer "Widerherstellungsanleitung" inkl. Orts/Personenverzeichnis. Die könnte man dann in nen verschlüsselten Veracrypt Container packen, den so verwahren dass er nach dem Tod sicher gefunden wird (bzw schon vorher verteilen), dann muss man nur noch das Passwort für den Container sicher übergeben, zB indem man es beim Notar hinterlegt.

 

vor 4 Stunden schrieb david19:

Das Ziel ist: Alle 27 Wörter auswendig lernen mit einer kleinen Geschichte dazu, dann kann man es sich besser merken. Somit ist man später, wenn man nicht krank wird, auf das Paperwallet nicht mehr angewiesen. Deshalb auch der Thread Titel: Meine Wallet im Kopf.

Das halte ich für gewagt. Ich empfehle eine Backup Strategie die selbst bei komplettem Gedächtnisverlust funktioniert. Da reicht ein solider Autounfall, und plötzlich ist alles weg. Oder das Kiffer-Syndrom schlägt zu... Dann beisste dir in A....

Man kann auch mit verschlüsselten Containern arbeiten. Im Prinzip kannste da deine ganzen Seeds und Infos im Klartext reinschreiben. Mit nem guten Passwort sichern. Das Passwort  per XOR in zwei Teile splitten und an zwei getrennten Orten versteckt notieren. -> Niemand kann mit nem zufällig gefundenen Passswort was anfangen. Dann musst du für den Fall eines Gedächtnisverlustes nur dafür sorgen, dass du an eine Widerherstellungsanleitung kommst...

[Jokin]

vor 4 Minuten schrieb mahatma:

1. Seed in Form einer 256 bit Hex Zahl erstellen. Nennen wir die Zahl S1

2. weitere zufällige 256-bit Hex Zahl. S2

3. Die zwei Zahlen XOR multiplizieren. Ergebnis S3

4. S2 und S3 in die 24-Wörter-darstellung überführen.

Jetzt benötigt man S2 und S3 um durch XOR Multiplikation wieder auf S1 zu kommen.

Schon hat man zwei Seeds die für sich völlig wertlos sind, und in der Summe den richtigen Seed ergeben.

In der Theorie klingt das super.

In der Praxis wirst du wohl auch selber nicht mehr an dein Guthaben kommen - und wenn doch, dann spätestens die Hinterbliebenen nicht mehr.

Ich hab 2017 meinen Nichten und Neffen zu Millionären gemacht (Thread ist auch hier im Forum). Zu Weihnachten hat jeder 1.000.000 Satoshis geschenkt bekommen. Dazu hat jeder eine Anleitung bekommen wie sie das Guthaben in Euros eintauschen können. (Auch hier in dem Weihnachtsthread von damals).

Dadurch bringe ich anderen Menschen bei wie sie mit einem Privatekey umgehen müssen um ihn a) zu schützen und b) selbst zu nutzen. Das als praktischen QR-Code (den spuckt die Colemanseite auch aus).

 

Soll heißen: Alles einfach nur aufzuschreiben hilft im Zweifel nicht wirklich. Man muss schon frühzeitig das Wissen weiter tragen wie man mit den dann vorliegenden Unterlagen umgehen muss.

Im einfachsten Fall hat man im Testament mehrere QR-Codes, die den Erben zugewiesen sind und die Information, dass sie mit einer App, z.B. Coinomi einen "Sweep" machen können um sich das Guthaben in die Wallet zu holen.

Hier muss Bitcoin.de unbedingt mit seiner App nachbessern - denn die App sollte durch das Scannen eines PrivateKeys direkt das Einzahlen zu bitcoin.de ermöglichen - ohne Umwege.

vor 16 Minuten schrieb mahatma:

Man kann auch mit verschlüsselten Containern arbeiten. Im Prinzip kannste da deine ganzen Seeds und Infos im Klartext reinschreiben. Mit nem guten Passwort sichern. Das Passwort  per XOR in zwei Teile splitten und an zwei getrennten Orten versteckt notieren. -> Niemand kann mit nem zufällig gefundenen Passswort was anfangen. Dann musst du für den Fall eines Gedächtnisverlustes nur dafür sorgen, dass du an eine Widerherstellungsanleitung kommst...

Auch hier hab ich einen Klugscheißer-Tipp:

Wer Micro-SD-Karten von SanDisk kauft, kann dort mit dem SanDisk-Vault gut arbeiten. Das ist genau so ein verschlüsselter Container - der ist jedoch sehr angenehm zu nutzen, wird ganz sicher auch die nächsten Jahre funktionieren - und man kann einen Hinweis zum Passwort hinterlegen.

Wenn man also "In!en2013" als Passwort nutzen, legt man als Tipp rein "Urlaub ! 13" ... dann fällt einem das Passwort schon wieder ein. (natürlich gehört das auch an anderer Stelle dokumentiert)

 

[Maaz]

Das Passwortwürfeln ist ja eine spannende Geschichte und gut für das Verständnis des private Keys. Sicher ist es auch.

Für mich sehe ich in der Praxis aber keinen Gewinn, deshalb mache ich es mir einfacher und nutze Electrum und BitBox02. Aber das soll bloß jeder so halten, wie er möchte. Die investierte Zeit ist ja nicht verloren.

Man kann aber auch erwähnen, dass sowohl die in Electrum erzeugten Keys sehr sicher sind, als auch die in der BitBox02.

Die Algorithmen zur Key-Erzeugung in electrum sind frei zugänglich und werden allgemein als sicher eingestuft. Es ist also auch möglich, in Electrum einen Key für die Paperwallet zu erzeugen, ggf. auf einen offline-PC.

Noch 'ne Nummer sicherer ist die BitBox02. Da drin ist ein Hardwarechip zur Key-Erzeugung verbaut und der Herausgeber der BitBox: ShiftCrypto hat ein Sicherheitskonzept, welches den böswilligen Austausch von Hard- oder Software der BitBox sehr schwer macht.

Bei mir kommt noch hinzu, dass ich nicht alle Coins in einer Wallet habe, sondern verschiedene Wallets und Coins auf diversen Börsen verteilt.

Das alles lässt mich ruhig schlafen, auch ohne jemals ein Passwort gewürfelt zu haben.

 

[Jokin]

vor 4 Minuten schrieb Maaz:

Noch 'ne Nummer sicherer ist die BitBox02. Da drin ist ein Hardwarechip zur Key-Erzeugung verbaut und der Herausgeber der BitBox: ShiftCrypto hat ein Sicherheitskonzept, welches den böswilligen Austausch von Hard- oder Software der BitBox sehr schwer macht.

 

Hier sind wir aber wieder an der Ecke "Vertrauen" und nicht "Prüfen" oder "Kontrolle".

... ich will damit nicht behaupten, dass BitBox, Ledger und Co. unsichere Seeds erzeugen würden.

vor 5 Minuten schrieb Maaz:

Bei mir kommt noch hinzu, dass ich nicht alle Coins in einer Wallet habe, sondern verschiedene Wallets und Coins auf diversen Börsen verteilt.

... ein nicht ganz unwesentlicher Nebensatz.

Grundsätzlich legt man nicht alle Eier in dasselbe Nest.

Somit mehrere Nester bauen und vor allem auch pflegen.

[Cricktor]

vor 7 Stunden schrieb Jokin:

Grundsätzlich legt man nicht alle Eier in dasselbe Nest.

Somit mehrere Nester bauen und vor allem auch pflegen.

Und mit diesem grundsätzlich empfehlenswerten Rat wird das Auswendiglernen, wie anfangs von @david19 vorgeschlagen, eher nicht anwendbar (wenngleich man auch mehrere "Nester" aus nur einem Mnemonic Seed sicher bauen kann). Auch aus anderen Gründen halte ich es für sehr gefährlich, sich auf sein Gedächtnis verlassen zu wollen. (Gut, hier sind oben auch noch der Mnemonic Seed auf Papier gesichert und sicher verwahrt.)

Warum halte ich das Auswendiglernen für weitgehend sinnfrei? Am Anfang wird man auch die beste Merkbrücke (mehrmals) täglich wiederholen und verifizieren müssen, später kann man die Prüffrequenz sicher runterfahren, trotzdem wird man zur Sicherheit eine Verifikationsgrundlage schriftlich behalten müssen (mindestens einmal wöchentlich würde ich mein Gedächtnis sorgfältig testen wollen, sollte ich auf die Idee kommen, mir einen Mnemonic Seed merken zu wollen). Dann ist aber das Auswendiglernen nicht nötig, wenn ich eh eine schriftliche oder elektronische Kopie zur Verifizierung behalten muss!

Crypto-Coiner und -innen sollten sich klar darüber sein, daß das eigene Ableben früher oder später mit Sicherheit kommen wird. Was man bis dahin nicht sorgfältig dokumentiert, sicher verwahrt und geeignet an die Erben kommuniziert hat, wird mit großer Wahrscheinlichkeit verloren gehen. Andere Verlustpfade wie Diebstahl, Feuer, Wasser, Erdbeben, Meteoreinschlag, Aliens sollte man je nach Eintrittswahrscheinlichkeit ebenfalls angemessen berücksichtigen. (Aber das würde hier zu weit führen, denke ich.)

[Jokin]

Und bei der ganzen Thematik auch den Honeypot nicht vergessen.

Wer zu Hause einen Ledger rumliegen hat, der möchte ganz bestimmt nicht den ersten Besuch eines Einbrechers in dessen Abwesenheit haben - denn der könnte diese Information an andere Finsterlinge verkaufen. Und die kommen dann mit Foltergerät zur Geiselnahme um die Coins vom Ledger zu stehlen.

Für solche Zwecke eignet sich auf jeden Fall ein Honeypot-Ledger, da liegt nicht ganz so viel Guthaben drauf und das opfert man dann halt um im weiteren Verlauf Ruhe zu haben.

[MixMax]

vor 20 Stunden schrieb david19:

- Ich erstelle meinen SEED mit der HTML Datei.

Ich kenne die besagte HTML-Software nicht da ich selbstverständlich meine eigene Key-Software habe.

Wird der SEED dort von dir selbst in irgendeiner Form (Würfeln etc) eingegeben? Oder wird er random von der Seite letztendlich selbst erzeugt?

Und wie kannst du im 1. Fall Prüfen, ob das dann wirklich so war?

Der Key muss UNBEDINGT von dir selbst kommen! Wenn nicht, wäre das unsicher!

 

Prinzipiell finde ich es irgendwie cool und auch gut, sich den Seed dann im Kopf zu merken, auch wenn 1000 Leute sagen, man soll das nicht.

Wenn du der Meinung bist, das du dir den Seed totsicher selbt merken kannst und auch noch in 30 Jahren weist, dann passt das doch.

Der Vorteil hier ist, das wirklich niemand dir den Seed aus deinem Kopf stehlen kann. Und das hat irgendwie was patriotisches. Ich könnte mir gut vorstellen, das Leute wie Sathoshi sich auch ihren Key gemerkt haben 😎.

Am Ende ist es eine Abwägung, was wahrscheinlicher ist:  Der Key wird von dir vergessen, oder die Paperwalles etc. wird dir aus deiner Keller- Beton-Wand gestohlen.

Es gibt hier aber schier Grenzenlos viele weitere kreative Möglichkeiten einen Key zu verstecken und zu verschleiern.  Geht ja auch in binärer Form in dem man z.B. Boden-fließen farblich codiert. Wie gesagt, Grenzenlose Möglichkeiten.

 

 

Bearbeitet 21. Dezember 2021 von MixMax

[Jokin]

vor 7 Stunden schrieb MixMax:

Ich kenne die besagte HTML-Software nicht da ich selbstverständlich meine eigene Key-Software habe.

Wird der SEED dort von dir selbst in irgendeiner Form (Würfeln etc) eingegeben? Oder wird er random von der Seite letztendlich selbst erzeugt?

Und wie kannst du im 1. Fall Prüfen, ob das dann wirklich so war?

Der Key muss UNBEDINGT von dir selbst kommen! Wenn nicht, wäre das unsicher!

 

Auf der Seite kann man den Seed automatisch erzeugen lassen - muss man aber nicht.

Darüber hinaus kann man sich die Entropy nicht nur anzeigen lassen sondern diese auch selber modifizieren.

https://iancoleman.io/bip39/

Nun kann man sich halt überlegen ob man eine zufällig automatisch generierte Entropy selber modifiziert, erweitert oder komplett selber auf der Tastatur rumhackt um eine Entropy zu erzeugen ... oder ob man sich hinsetzt und würfelt.

Man kann auch einfach noch ein paar Würfelwürfe reinstreuen, das ändert an der Sache nix.

Selbst wenn der Zufallsgenerator immer nur "FFFFFFFFFF...." ausspuckt, dann kann man dieser Zeichenfolge mit ein paar weiteren Zahlen mittendrin eine "Zufälligkeit" geben.

Praktischerweise wird auch direkt angezeigt wie lange man für das Durchraten der Entropy benötigt.
 

FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF -> less than a second
FFFFFFFFFFFFFFFFFFFF1FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF -> less than a second
FFFFFFFFFFFFFFFFFFFF1FFFFFFFFAFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF -> 31 Minutes
FFFFFFFFFFFFFFFFFFFF1FFFFFFFFAFFFFFFFFFF5FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF -> Centuries

Somit einfach zufällig ermitteln lassen und noch mindestens 5 Stellen ändern, fertig.

vor 7 Stunden schrieb MixMax:

Der Vorteil hier ist, das wirklich niemand dir den Seed aus deinem Kopf stehlen kann. Und das hat irgendwie was patriotisches. Ich könnte mir gut vorstellen, das Leute wie Sathoshi sich auch ihren Key gemerkt haben 😎.

Wenn ich weiß, dass du dir einen Seed im Kopf merkst, dann reicht es bestimmt schon wenn ich dir ein Messer an den Hals halte - du wirst dich bestimmt für "arm und leben" als "reich und tot" entscheiden.

Daher gilt grundsätzlich, dass man nur den Menschen sein Bitcoinvermögen mitteilt, die es wissen müssen.

Um nicht zwischen "ganz oder gar nicht" gefangen zu sein, erstellt man seinen "Honeypot". Dort sind dann einige Coins drauf und ein Angreifer bekommt dann diesen Honeypot. Mit solch einem Honeypot kann man dann auch an Fachgesprächen teilnehmen und man hat ein bisschen was vorzuweisen falls das mal nötig ist für z.B. eine Bankfinanzierung bei der man sein Eigenkapital vorweisen muss.

vor 7 Stunden schrieb MixMax:

Es gibt hier aber schier Grenzenlos viele weitere kreative Möglichkeiten einen Key zu verstecken und zu verschleiern.  Geht ja auch in binärer Form in dem man z.B. Boden-fließen farblich codiert. Wie gesagt, Grenzenlose Möglichkeiten.

Geil, ein QR-Code mit Fliesen gelegt!  

 

[mahatma]

vor 2 Stunden schrieb Jokin:

Auf der Seite kann man den Seed automatisch erzeugen lassen - muss man aber nicht.

Darüber hinaus kann man sich die Entropy nicht nur anzeigen lassen sondern diese auch selber modifizieren.

https://iancoleman.io/bip39/

Ganz genau. Das "Entropy" Feld ist vielleicht bischen missleading bezeichnet, darin wird einfach eine umgerechnete Darstellung des Seeds angezeigt. Mit den Reitern rechts kann man auswählen in welchem Format man seinen Seed angezeigt haben will.

Ich benutz Ian Coleman eigentlich nur noch als Umrechner zwischen Binärer Darstellung, Hex-Darstellung und 24-Wort Darstellung.

In 1 Minute ist eine 32 Byte Hex-Zahl gewürfelt. Bei Entropie direkt eingeben, und schon spuckts den Seed inkl. korrektem 24ten Wort aus. Oder die binäre Darstellung, dann ala @MixMaxschnell mal den Keller gefliesst, ne Halskette mit verschieden farbigen Kugeln irgendwo an die Wand gehängt, nen Lampenschirm präpariert, was auch immer, und gut is.

Am 20.12.2021 um 08:55 schrieb Jokin:

In der Theorie klingt das super.

In der Praxis wirst du wohl auch selber nicht mehr an dein Guthaben kommen - und wenn doch, dann spätestens die Hinterbliebenen nicht mehr

Ich glaub eher umgekehrt. In der Theorie klingt das arg kompliziert, bis man es mal in die Praxis umsetzt.

Ich komm damit mit Sicherheit an mein Guthaben, weil ich das schon x-mal durchgespielt hab. Und für mich ist das echt ein eleganter Move. Ich splitt den Seed in 2 oder 3 Teile, kodier die Binär oder egal wie und sicher die an verschiedenen Orten. Und kann einfach sicher sein, dass niemand mit dem was er findet was anfangen kann.

Ebenso Passwörter. So muss ich mir keine Sorgen machen, dass jemals irgendjemand irgendwie zB mein Containerpasswort erwischt. Und ich muss jedesmal wenn ich es brauch das Prozedere selbst durchlaufen, also kann ich mir sicher sein dass die Geschichte funktioniert.

Im Nachlass ist ne ausführliche Anleitung.  Wird man dann sehen ob der Anreiz an 0,6 BTC zu kommen gross genug ist bischen Rätselraten zu spielen.  

 

[david19]

Am 20.12.2021 um 07:43 schrieb Jokin:

Warum willst du dazu ins Internet?

Das Ermitteln der Adressen ist  reine Mathematik. Das geschieht offline.

 

Exakt, man muss dazu nicht online sein. Ein Fehler von mir🙂

vor 23 Stunden schrieb Cricktor:

Und mit diesem grundsätzlich empfehlenswerten Rat wird das Auswendiglernen, wie anfangs von @david19 vorgeschlagen, eher nicht anwendbar (wenngleich man auch mehrere "Nester" aus nur einem Mnemonic Seed sicher bauen kann). Auch aus anderen Gründen halte ich es für sehr gefährlich, sich auf sein Gedächtnis verlassen zu wollen. (Gut, hier sind oben auch noch der Mnemonic Seed auf Papier gesichert und sicher verwahrt.)

Es hat sicherlich Vor und Nachteile. Ich habe dazu folgende Meinung:

Es ist wesentlich einfacher, 24 Wörter + 3 Wörter zu merken, als mehrere Seeds irgendwo zu sichern. Und wir sprechen ja hier von einer COLD Wallet. Ich finde es anstrengender, meherere Paper Wallets zu erstellen und diese zu sichern. Und man muss ja auch keine 24 Wörter nehmen, es funktioniert auch 9 Wörter + 3 Eigene.

Man kann keinen SEED stehlen, wenn er nirgends gespeichert ist. Die Paper Wallet dient nur als Versicherung. Und dadurch das die letzen 3 Worte nicht komplett sind, brauch ich keine Angst haben, falls sie jemand findet. 

Aber es hat wie gesagt, Vor und Nachteile.

 

Durch https://github.com/iancoleman/bip39/releases/tag/0.5.4 habe ich verstanden, wie das eigentlich mit den Keys funktioniert. Ich wusste vorher nicht, was BIP39 ist. Durch das rum gespiele, konnte ich einiges lernen. 😀

[Gast]

Am 20.12.2021 um 05:07 schrieb david19:

Das Ziel ist: Alle 27 Wörter auswendig lernen mit einer kleinen Geschichte dazu, dann kann man es sich besser merken. Somit ist man später, wenn man nicht krank wird, auf das Paperwallet nicht mehr angewiesen. Deshalb auch der Thread Titel: Meine Wallet im Kopf.

 

vor 19 Stunden schrieb MixMax:

Wenn du der Meinung bist, das du dir den Seed totsicher selbt merken kannst und auch noch in 30 Jahren weist, dann passt das doch.

Das scheitert schon an dem Wort Tot-sicher😉

Dann kommen noch alle Arten dessen hinzu, warum das die denkbar schlechteste Methode ist.
 

[Gast]

vor 19 Stunden schrieb MixMax:

Der Vorteil hier ist, das wirklich niemand dir den Seed aus deinem Kopf stehlen kann.

Doch, genauso wie man dir das Passwort für den Ledger herauspresst.
https://github.com/jlopp/physical-bitcoin-attacks
Falls du ihn dann erst recht vergisst (Schock), könnte das noch schlimmer enden.

Allgemein:
Die besten Verstecke und geheimnisse sind nicht die, die man in einem Forum findet, sondern die die man geheim hält, deswegen gibts von mir keine Tricks 😇

Bearbeitet 21. Dezember 2021 von Gast
ergänzung

[MixMax]

vor 3 Stunden schrieb alica:

Doch, genauso wie man dir das Passwort für den Ledger herauspresst.
https://github.com/jlopp/physical-bitcoin-attacks
Falls du ihn dann erst recht vergisst (Schock), könnte das noch schlimmer enden.

Kein Räuber traut sich näher als 1.5m an mich heran, denn ich bin ungeimpft. Zur Not könnte ich mal husten.

Davon abgesehen, ist es bei dieser Art des Raubes völlig egal, wie man seine Keys speichert. Sind sie als Paperwallet aufgeschrieben, oder im Kopf, Wenn man erpresst wird, ist das völlig wurscht. Gegen Erpressungsversuche helfen andere Maßnahmen. Aber dazu werde ich hier auch keine Tipps geben.

Aber ihr könnt euch sicher sein, das ich äußerst effektive Schutz-Maßnahmen auch gegen diese Art des Angriffes aufgebaut haben.

Bearbeitet 21. Dezember 2021 von MixMax

[Gast]

vor 21 Minuten schrieb MixMax:

Kein Räuber traut sich näher als 1.5m an mich heran, denn ich bin ungeimpft. Zur Not könnte ich mal husten.

Doch die ungeimpften, ob es an der Bildung liegt weiß keiner

[recalion]

Am 20.12.2021 um 05:07 schrieb david19:

 

Ich erstelle mir einen bootfähigen Ubuntu LTS Stick. Installiere Ubuntu aber nicht, sondern teste es nur über USB.

Noch sicherer wäre eine VM in einer RAM Disk plus Netzwerkkabel abziehen.